De software waarmee de versleuteling van de Mifare Classic-RFID-chips is te kraken, is openbaar beschikbaar gemaakt. Het gaat om een opensourceproject dat de kraak CRYPTO1 gebruikt en de naam Crapto1 draagt.
De software is gebaseerd op bestaande projecten zoals OpenPCD en Proxmark, die worden gebruikt voor de communicatie, en richt zich vooral op het kraken van gegevens. De maker wil met de software vooral onderzoek doen en zegt geen kwaad in de zin te hebben.
Bla, zoals de softwaremaker zich noemt, heeft de software openbaar gemaakt op aandringen van een bekende en hij heeft voor de ontwikkeling ervan de paper van de Radboud Universiteit gebruikt. De versie van Crapto1 is inmiddels aanbeland bij versie 1.3, waarin minder geheugen voor het kraken is vereist.
Gebruikers kunnen met Crapto1 sleutels van toegangssystemen achterhalen. De aanval hoeft slechts een keer te gebeuren, wanneer de sleutel namelijk achterhaald is kan iedereen deze klonen. Het is dan mogelijk om bedrijven binnen te komen of ov-chipkaarten te vermenigvuldigen.
De software komt niet als een verrassing. Diverse universiteiten zijn al lange tijd in staat om CRYPTO1 te kraken en ook in China gebeurt het al langere tijd. Wel opmerkelijk is dat het onderzoek van de TNO in februari voorspelde dat het op grote schaal kraken van CRYPTO1 nog minimaal twee jaar zou duren, terwijl dat nu al begint.
De SP eist nu uitleg over wat de gevolgen van dit programma zijn, zo laat Webwereld weten. Tegenover die ICT-site vertelt Tweede Kamerlid Emile Roeme van de SP: "Het was eigenlijk een beetje wachten op het moment. Iedere keer kregen we als politici te horen dat het vooral aanvallen in laboratoria betrof. Nu komt het iedere keer dichter bij misbruik in de dagelijkse en als ik het zo lees dan is het al zover."
Beveiligingsexpert Bruce Schneier laat weten blij te zijn dat de broncode openbaar is gemaakt en stelt dat je geen geheim kunt bewaren als basis voor de technologie. Volgens hem lopen bedrijven nu ook echt gevaar als ze de Mifare-chip gebruiken. "Zij moeten nu echt naar iets anders overstappen. Dit is een groot risico," vertelt hij.
De schade voor de ov-chipkaart blijft misschien beperkt. Het is namelijk mogelijk om namaakkaarten te herkennen en dus ook fraudeurs op te pakken., echter is dit wel een lastige taak.
De broncode van het project is via Google Code in het tgz-formaat te downloaden.